Oracle waarschuwt voor een nieuwe en zeer ernstige kwetsbaarheid in WebLogic Server waardoor aanvallers systemen op afstand kunnen overnemen zonder dat er authenticatie is vereist. Op verschillende websites is er inmiddels exploitcode verschenen om misbruik van het lek te maken.

De kwetsbaarheid is op een schaal van 1 tot en met 10 wat betreft de ernst met een 9,8 beoordeeld. 

Gisterenavond kwam Oracle buiten de vaste patchcyclus om met een beveiligingsupdate en bedankt verschillende onderzoekers voor het melden van de kwetsbaarheid. Organisaties worden vanwege de ernst van de kwetsbaarheid dan ook opgeroepen om de update zo snel als mogelijk te installeren.

Alles bij de bron; Security


Het Brits Information Commissioner's Office legt hotelketen Marriott een boete van 18,4 miljoen pond op, omgerekend 20,5 miljoen euro. 

De Britse privacyautoriteit komt na onderzoek tot de conclusie dat Marriott niet de juiste technische en organisatorische maatregelen had genomen om de data van klanten voldoende te beschermen, zoals de Europese General Data Protection Regulation wel vereist. Het VK was ten tijde van de ontdekking van het datalek, in 2018, nog onderdeel van de EU, waardoor de GDPR van toepassing was.

Gegevens van 339 miljoen accounts van klanten kwamen in 2018 bij een aanval op Marriotts Starwood Hotels en Resorts Worldwide Inc op straat te liggen, waaronder onversleutelde paspoortdata. Volgens het ICO had Marriott meer moeten doen om het betreffende reserveringssysteem te beveiligen. De aanval vond al in 2014 plaats. In 2016 nam Marriott Starwood over en in 2018 werd het datalek ontdekt.

Alles bij de bron; Tweakers


 

Het op privacy gerichte sociale netwerk True heeft door een fout de persoonlijke data van gebruikers gelekt. Een dashboard voor één van de databases van de app was sinds begin september voor iedereen op internet zonder wachtwoord toegankelijk.

Zo was het mogelijk om allerlei gegevens van gebruikers te vinden, aldus TechCrunch. Het ging om e-mailadressen, telefoonnummer, inhoud van privéberichten, berichten tussen gebruikers, locatiegegevens en e-mailadressen en telefoonnummers die door gebruikers zelf waren geüpload om contacten op het sociale netwerk te vinden.

True laat aan gebruikers weten dat als ze hun account verwijderen al hun content direct van de servers wordt verwijderd, maar dat bleek niet het geval te zijn. Privéberichten, berichten en foto's bleken na het opheffen van een account nog steeds via het dashboard te bekijken.

True heeft het datalek tegenover TechCrunch bevestigd en het dashboard inmiddels beveiligd. De Android-app van True heeft meer dan 500.000 downloads. Van hoeveel gebruikers de gegevens via het dashboard toegankelijk waren is onbekend.

Alles bij de bron; Security


 

Facebook kreeg in 2018 naar aanleiding van het schandaal al een boete van de Britse privacywaakhond ICO. De boete kwam uit op 500.000 pond. Maar volgens de groep achter de massaclaim - die zichzelf 'Facebook You Owe Us' noemt - was dat niet voldoende. "Minder dan 0,01 procent van je jaarlijkse omzet in boetes betalen - kleingeld voor Facebook - is duidelijk een straf die niet bij de misdaad past", aldus vertegenwoordiger Alvin Capio tegenover de BBC....

....Het schandaal rondom Cambridge Analytica is de afgelopen jaren nog regelmatig opnieuw aan de orde gekomen. Meest recent omdat de voormalige CEO van het bedrijf - Alexander Nix - in Groot-Brittannië een verbod heeft gekregen om een leidende positie te bekleden in het bedrijfsleven. Deze diskwalificatie geldt voor de komende zeven jaar. Het verbod is opgelegd vanwege het aanbieden van "potentieel onethische diensten" aan mogelijke klanten. 

Alles bij de bron; AGConnect


 

We kennen al de DeepFakes, foto’s en video’s waarin het gezicht van persoon A op het gezicht van persoon B geplakt is. De sneue variant daarop is DeepNude: software die afbeeldingen van vrouwen ‘uitkleedt’ en voorziet van blote lichaamsdelen. Het is nepnaakt natuurlijk, maar de schade die ze veroorzaken, is wel echt.

Sensity, een bedrijf dat de verspreiding van gemanipuleerde beelden onderzoekt, maakte vorige week bekend dat een bot in chatapp Telegram (400 miljoen gebruikers) honderdduizenden afbeeldingen van vrouwen digitaal ontkleedde. Telegram-gebruikers sturen een foto op naar de bot en krijgen even later de blootversie terug.

Zoals de algoritmes van DeepFakes worden getraind met foto’s en video’s van gezichten, is DeepNude gevoerd met pornofilms. Giorgio Patrini, oprichter van Sensity, legt aan de telefoon uit hoe het werkt: „De software vult ontbrekende blote delen van het lichaam in en houdt rekening met huidskleur en lichtinval. Op hoge resolutie zie je nog wel verschil, maar dat duurt vast niet lang meer.”

De app met het niveau van Porky’s Pikante Pretpark kan wel reputaties vernietigen en levens kapotmaken. Patrini vertelt over een influencer die door nepnaakt een sponsordeal kwijtraakte. Niet alleen bekende personen zijn de dupe: uit het onderzoek blijkt dat de DeepNude-klanten vooral foto’s van meisjes in hun directe omgeving uploaden.

Sensity probeerde Telegram zover te krijgen de bot te stoppen. Toen dat niet lukte, hebben ze besloten het rapport publiek te maken. Inmiddels heeft een Italiaanse privacyinstantie een officiële klacht ingediend.

Alles bij de bron; NRC


 

 

Criminelen hebben vorig jaar tienduizenden euro's weten te stelen door 14 pinterminals van een bezorgdienst van een supermarktketen om te wisselen. Dat heeft de politie vandaag bekendgemaakt

Bezorgers van de bezorgdienst werden onderweg naar een klant gebeld door iemand die zich voordeed als een medewerker van het hoofdkantoor. Volgens deze "medewerker" heeft de pinterminal van de bezorger een update nodig en zal iemand het apparaat straks door een ander apparaat vervangen.

Het geld dat klanten aan de deur voor hun bestelling moesten pinnen werd overgemaakt naar de rekening van een katvanger. Zodra het geld is overgemaakt wordt het vervolgens direct door iemand opgenomen. In het onderzoek naar de diefstal zijn nu drie mannen aangehouden. De politie sluit meerdere aanhoudingen niet uit.

Alles bij de bron; Security


 

Op dit moment zijn er naar schatting wereldwijd twintig tot dertig miljard Internet of Things-apparaten met het internet verbonden. Een aantal dat in 2025 mogelijk zal zijn gestegen naar vijftig tot honderd miljard. Als samenleving staan we echter niet voldoende stil wat de impact hiervan is op onze privacy en security en hoe het voor een groter aanvalsoppervlak tegen netwerken en systemen zorgt, zo stelt de Amerikaanse geheime dienst NSA.

"Als samenleving denken we niet na over hoe IoT-apparaten onze gevoelige informatie verzamelen of operaties verstoren", aldus de NSA. Nu er steeds meer thuis wordt gewerkt is het voor organisaties nodig om proactief te zijn en stappen te nemen om medewerkers die vanuit huis werken te beschermen, zo gaat de geheime dienst verder.

Volgens de NSA moeten mensen hiervoor wel hun gedrag aanpassen. "Om onze persoonlijke informatie en data te beschermen is het belangrijk dat we anders met technologie en IoT omgaan." Zo moeten alle beveiligingsfeatures up-to-date en geüpdatet zijn. Verder moet voor elk aangeschaft product de gebruikersovereenkomst worden gelezen, zodat duidelijk is welke informatie het apparaat verzamelt.

Als laatste moeten gebruikers bewust zijn dat de IoT-wereld continu aan het veranderen is. "Als gebruiker van technologie is je voornaamste doel om altijd je persoonlijke informatie te beschermen door proactief en waakzaam te zijn", besluit de geheime dienst de oproep.

Bron; Security


 

Onderzoekers van de TU Eindhoven hebben een Russische website gevonden waar online-fingerprints van internetgebruikers worden verhandeld. Het gaat om digitale 'vingerafdrukken' die gebruikers identificeren aan de hand van een reeks digitale factoren. Deze lopen uiteen van technische informatie zoals webbrowser en besturingssysteem, tot gedragskenmerken als muisbeweging, en tiksnelheid. 

Een online-fingerprint is een alternatief voor de bekende, maar relatief weinig gebruikte tweestapsverificatie (2FA) voor toegang tot gevoelige systemen. De online-fingerprint staat bekend als Risk-based Authentication (RBA). "Het systeem kijkt naar fingerprints om iemands identiteit te controleren. Fingerprints omvatten technische basisinformatie, zoals het type browser of besturingssysteem, maar ook gedragskenmerken, zoals muisbewegingen, de locatie en de snelheid van de toetsaanslag", aldus de TU/e in een verklaring.

Op de Russische website zijn meer dan 260.000 gedetailleerde profielen te vinden, deze worden gekoppeld aan e-mailadressen en wachtwoorden. Volgens de onderzoekers worden de profielen voortdurend geüpdatet, wat uniek is. Het heeft de onderzoekers veel moeite gekost om binnen te komen bij de website. 

Alles bij de bron; AGConnect


 

Subcategorieën

Abonneer je nu op onze wekelijkse nieuwsbrief!
captcha